AMKLogo

Käyttäjähallinnon kuvaus

tr>
Versio Tekijä Päiväys Muutos
0.3Miina Lehto5.8.2011Luonnos Pauli Lehtosen aloittaman dokumentin pohjalta; päivitetty tiedot ajan tasalle, ja muokattu dokumentin ulkoasua.
0.4Miina Lehto3.11.2011Päivitetään tietoja.
0.5Miina Lehto30.11.2011Päivitetään tietoja.
0.6Miina Lehto7.12.2011Tarkennus kohtaan 1.1.3 ja 2.1.
0.7Miina Lehto18.1.2012Päivitetään attribuuttilistaa.
0.8Miina Lehto31.1.2012Päivitetään attribuuttilistaa.
0.9Miina Lehto21.2.2012Tarkennus kohtaan 1.2.3 ja päivitetään attribuuttilistaa.
1.0Miina Lehto9.3.2012Päivitetään tiedot kohtaan 4.2.
1.1Miina Lehto25.3.2013Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit.
1.2Miina Lehto19.4.2013Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit.
1.3Miina Lehto3.5.2013Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit.
1.4Miina Vina3.4.2014Päivitetään tiedot kohtaan 1.1.3.: opiskelijan tunnuksen lukitseminen ja poisto sekä kohtaan 4.1.: tunnusten roolikohtaisuus.
1.5Miina Vina13.1.2015Päivitetään kohtaa 1.3.
1.6Miina Vina5.5.2015Päivitetään attribuuttilistaa: givenName luovutetaan kaikilta.
1.7Miina Vina1.8.2016Päivitetään attribuuttilistaa.
1.8Miina Vina14.11.2017Eppn:n kierrätys, kohta 4.2.
1.9Rantapere Joona12.3.2019Tietoja päivitetty.
2.0Sormunen Satu-Katri06.08.2020Tietoja päivitetty.
2.1Rantapere Joona28.03.2022Tietoja päivitetty.
2.1Sormunen Satu-Katri12.03.2024Tietoja päivitetty.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajan tasalla. Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

Opiskelijarekisteri on Pepin perusrekisteri, jonne tallennettujen tietojen perusteella opiskelijoiden käyttäjätunnuksia luodaan ja päivitetään kerran päivässä.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?

Uusi opiskelija saa opiskelijaroolin otettuaan opiskelupaikan vastaan ja käyttäjätunnuksen ilmoittauduttuaan läsnä olevaksi.

Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan tai ottaa paikan vastaan, mutta ilmoittautuu poissaolevaksi?

Tunnusta ei luoda, mikäli opiskelupaikkaa ei oteta vastaan. Poissaolevaksi ilmoittautuvan uuden opiskelijan tunnusta ei luoda. Tunnukset luodaan, jos opiskelija on läsnä opintojen alettua. Tunnuksiin ei tehdä muutoksia, jos opiskelija ilmoittautuu poissaolevaksi kesken opiskelun.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskelijarekisteriin tehdyt muutokset päivittyvät automaattisesti seuraavana yönä.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Milloin organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen, kun opiskelija valmistuu?

Opiskelijastatus poistuu valmistumispäivänä eli heti, kun opintotoimisto merkitsee opiskelijan valmistuneeksi.

b) sen jälkeen, kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnä olevaksi?

Opiskelijastatus poistuu, kun opiskelija ei ilmoittaudu ilmoittautumisaikana läsnä- tai poissa olevaksi.

c) sen jälkeen, kun opiskelija ilmoittaa keskeyttävänsä opinnot?

Tieto keskeyttämisestä merkitään opiskelijarekisteriin sinä päivänä, kun opiskelija ilmoittaa keskeyttävänsä opinnot.

Kuinka kauan yllä olevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

Opiskelijan tunnus lukitaan 31 päivää sen jälkeen, kun opiskelija merkitään opiskelijarekisteriin eronneeksi, valmistuneeksi tai kun opiskelu on päättynyt. Tunnus poistetaan 24 kk kuluttua.

1.2. Henkilökuntarekisteri

Henkilörekisteri on HR-järjestelmän relaatiotietokanta.

Henkilökunnan käyttäjätunnuksia ylläpidetään automaattisesti HR-järjestelmän tietojen perusteella tai käsin niiden tietojen osalta, joita ei HR-järjestelmästä saada. Tunnusten ylläpidossa noudatetaan toimintaprosessia, jonka toimintakuvaus on nähtävissä Turun AMK:n intranetissä.

1.2.1. Uusi työntekijä

Uuden henkilön tiedot päivitetään HR-järjestelmän tai tietojärjestelmien käyttölupahakemuksesta saatujen tietojen perusteella. Kaavakkeella anotaan käyttölupaa, ja sen allekirjoittavat sekä työntekijä että esimies. Käyttäjätunnuksen saa käyttöön vahvaa sähköistä tunnistautumista vastaan, tai tietohallinto luovuttaa käyttäjätunnuksen työntekijälle.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Työntekijän, jolla on voimassa oleva työsuhde, tiedot päivitetään HR-järjestelmän tietojen tai tietojärjestelmien käyttölupahakemuksen perusteella.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Käyttäjätunnus suljetaan seuraavana päivänä työsuhteen päättymisestä. Tiedot saadaan automaattisesti HR-järjestelmästä, tai esimies ilmoittaa päättyvästä työsuhteesta tietohallintoon ennen työvelvoitteen päättymistä.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Onko organisaatiossa vielä muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-verkoston palveluihin (esim. Suomen Akatemian tutkijat, ravintolahenkilökunta, siviilipalvelusmiehet, dosentit, alumnit, emeritukset ja kirjaston asiakkaat)? Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy? Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen sekä roolitiedon päivittyminen on varmistettu? Käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-verkoston loppukäyttäjiä. Heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin ei sallita.

Muiden kuin AMK:n työntekijöiden ja opiskelijoiden käyttäjätunnuksissa noudatetaan samaa prosessia, kuin henkilökunnan käyttäjätunnusten ylläpidossa. Tunnukset ovat määräaikaisia.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Opiskelija saa käyttäjätunnustiedot ID-palvelusta Suomi.fi-tunnistautumista käyttämällä, opintotoimistosta tai opettajatutorilta. Opiskelijan henkilöllisyys tarkistetaan ennen tietojen luovuttamista.
Työntekijä saa käyttäjätunnustiedot tietohallinnosta. Työntekijän henkilöllisyys tarkistetaan tunnuksen luovutuksen yhteydessä aina, jos henkilö ei ole ennestään tuttu.

Henkilöllisyyden todistamiseen käy henkilökortti, ajokortti, passi tai kuvallinen Kela-kortti.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksellaan

Mitkä ovat salasanatodennukseen liittyvät laatuvaatimukset? Onko käytettävissä salasanaa vahvempia autentikointimenetelmiä?

Salasanan on oltava vähintään 12 merkkiä pitkä. Järjestelmään on asetettu ehtoja salasanan muodolle. Seuraavista ehdoista tulee täyttyä kolme: isot kirjaimet, pienet kirjaimet, erikoismerkki tai numero. Järjestelmä ei salli salasanan olevan liian samankaltainen käyttäjän nimen, vanhan salasanan tai käyttäjätunnuksen kanssa. Järjestelmä pakottaa vaihtamaan salasanan määräajoin. Käytössä ei ole muita autentikointimenetelmiä.

3. Käyttäjätietokannasta saatavilla olevat tiedot

Lisätietoja funetEduPerson-skeemasta (saatavilla olevat käyttäjätiedot) CSC:n sivuilla.

Oheisesta taulukosta löytyvät saatavilla olevat attribuutit.
Kohdassa "Saatavuus" on rasti, jos kyseinen henkilötieto on ajan tasalla ja siten saatavilla Identity Provider -palvelimen kautta.

Opiskelijoiden käyttäjätunnusten ajantasaisuus turvataan päivittäisillä eräajoilla opiskelijarekisteristä.
Henkilökunnan käyttäjätunnusten tietojen päivittäminen perustuu toimintaprosessiin.

Attribuutti Saatavuus Muuta (esim. tulkintoja)
cn / commonNamexMUST
description
displayNamexMUST
eduPersonAffiliationxstaff, student, affiliate
eduPersonAssurancexMUST
eduPersonEntitlementx
eduPersonNickName
eduPersonOrgDN
eduPersonOrgUnitDN
eduPersonPrimaryAffiliationxstaff, student, affiliate
eduPersonPrimaryOrgUnitDN
eduPersonPrincipalNamexMUST
eduPersonScopedAffiliationxstaff/student/affiliate@turkuamk.fi
eduPersonTargetedIDx
employeeNumber
facsimileTelephoneNumber
funetEduPersonCreditUnits
funetEduPersonGivenNamesx
funetEduPersonFullNamex
funetEduPersonECTS
funetEduPersonHomeCityx
funetEduPersonLearnerIdx
funetEduPersonPrimaryStudyStart
funetEduPersonPrimaryStudyToEnd
funetEduPersonProgram
funetEduPersonSpecialisation
funetEduPersonStudentCategoryx
funetEduPersonStudentStatusx
funetEduPersonStudentUnionMikä arvo on käytössä?
funetEduPersonStudyStart
funetEduPersonStudyToEnd
funetEduPersonTargetDegree
givenNamex
homePhone
homePostalAddress
jpegPhoto
l / localityName
labeledURI
mailx
mobile
nationalIdentificationNumberx
o / organizationName
ou / organizationalUnitName
postalAddress
postalCode
preferredLanguagex (vain opiskelijat)fi, en
schacCountryOfCitizenship
schacCountryOfResidence
schacDateOfBirthx
schacGender
schacHomeOrganizationxMUST turkuamk.fi
schacHomeOrganizationTypexMUST :fi:polytechnic
schacMotherTongue
schacPersonalUniqueCodex
schacPersonalUniqueIDx
schacPlaceOfBirth
schacUserPresenceID
schacUserStatus
seeAlso
sn / surnamexMUST
street
telephoneNumber
title
uid
userCertificate

4. Muuta

4.1. Kardinaliteetit

Miten roolit vaikuttavat käyttäjätunnusten määrään (yksi henkilöllisyys per tosielämän käyttäjä vai yksi henkilöllisyys per rooli)? Onko esim. opiskelija-työntekijällä kaksi käyttäjätunnusta?

Henkilöllä on yksi tunnus per rooli. Opiskelija-työntekijällä on siten kaksi tunnusta.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?

EPPN ei vaihdu.

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

EPPN-arvoa ei kierrätetä.